Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica di Google Cloud Armor Adaptive Protection

Google Cloud Armor Adaptive Protection ti aiuta a proteggere le applicazioni, i siti web e e i servizi contro gli attacchi DDoS (Distributed Denial-of-Service) L7 come flood HTTP e altri dannosi di livello 7 ad alta frequenza (a livello di applicazione) attività. Adaptive Protection crea modelli di machine learning che seguenti:

Rileva l'attività anomala e invia avvisi in caso di attività anomala
Generare una firma che descriva il potenziale attacco
Genera una regola WAF personalizzata di Google Cloud Armor per bloccare la firma

Puoi abilitare o disabilitare Adaptive Protection in base a un criterio di sicurezza specifico. base.

Avvisi di traffico anomalo (potenziali attacchi), che includono le firme degli attacchi, vengono visualizzati nella dashboard degli eventi di Adaptive Protection con l'evento log inviati a Cloud Logging, dove potranno essere analizzati o inoltrati direttamente in un flusso di lavoro downstream per il monitoraggio dei log o degli eventi di sicurezza. Avvisi di potenziali vengono generati anche come risultati Security Command Center.

Disponibilità di Adaptive Protection

Gli avvisi di Adaptive Protection sono disponibili soltanto se abbonarsi a Google Cloud Armor Enterprise. In caso contrario, riceverai solo avviso di base, senza una firma di attacco o la possibilità di eseguire il deployment la regola suggerita.

Se i tuoi progetti non sono già registrati in Cloud Armor Enterprise, leggi Utilizzo di Cloud Armor Enterprise per informazioni su come registrarti.

Cloud Logging e Cloud Monitoring

Perché per usare Adaptive Protection in modo efficace, è necessario comprendere come funzionano il logging e gli avvisi in Google Cloud, acquisire familiarità con i criteri di Cloud Logging, avviso e avviso.

Per informazioni generali sul logging, consulta la documentazione di Cloud Logging.
Per informazioni sugli avvisi, consulta la documentazione di Cloud Monitoring.
Per informazioni sul logging specifiche per Google Cloud Armor, consulta Utilizzo del logging delle richieste.

Configura e ottimizza gli avvisi

Puoi abilitare Adaptive Protection nei progetti in cui Google Cloud Armor i tuoi criteri di sicurezza proteggono già le tue applicazioni. Quando attivi Adaptive Protection per un determinato criterio di sicurezza, Adaptive Protection è attivo per tutti i servizi di backend con cui il criterio di sicurezza è associato.

Dopo aver abilitato Adaptive Protection, il periodo di addestramento è di almeno un'ora prima che Adaptive Protection sviluppi una base di riferimento affidabile inizia a monitorare il traffico e a generare avvisi. Durante il periodo di addestramento, Adaptive Protection modella il traffico in entrata e i pattern di utilizzo che sono specifico per ciascun servizio di backend, in modo che sviluppa la baseline per ogni di servizio di backend. Al termine del periodo di addestramento, riceverai avvisi in tempo reale Quando Adaptive Protection identifica anomalie con un volume elevato o con frequenza elevata nel traffico diretto a qualsiasi servizio di backend associato criteri di sicurezza.

Puoi ottimizzare gli avvisi di Adaptive Protection in base a diverse metriche. La di Google Cloud, che vengono inviati a Cloud Logging, includono un livello di confidenza, firma di attacco, una regola suggerita e una percentuale di riferimento interessata stimata associate alla regola suggerita.

Il livello di confidenza indica il grado di affidabilità con cui Adaptive Protection prevengono che il cambiamento osservato nel modello di traffico è anomalo.
Le percentuali di riferimento interessate associate alla regola suggerita rappresentano i percentuale di traffico di riferimento esistente che è catturata dalla regola. Due. le tariffe. La prima è la percentuale relativa al traffico su lo specifico servizio di backend sotto attacco. Il secondo è la percentuale rispetto a tutto il traffico che passa per il criterio di sicurezza, inclusi tutti le destinazioni servizio di backend configurati (non solo quella oggetto di attacco).

Puoi filtrare gli avvisi in Cloud Logging in base il livello di confidenza, i tassi di riferimento interessati o entrambi. Per ulteriori informazioni sull'ottimizzazione degli avvisi, consulta Gestione dei criteri di avviso.

Adaptive Protection mira a proteggere i servizi di backend dal livello di volumi elevati 7 attacchi DDoS. Nei seguenti scenari, le richieste non vengono conteggiate Adaptive Protection:

Richieste gestite direttamente da Cloud CDN
Richieste rifiutate da un criterio di sicurezza di Google Cloud Armor

Modelli granulari

Per impostazione predefinita, Adaptive Protection rileva un attacco e suggerisce le possibili mitigazioni. in base al traffico tipico diretto a ciascun servizio di backend. Ciò significa che un backend dietro un servizio di backend può sovraccaricarsi, Adaptive Protection non interviene perché il traffico dell'attacco non è in modo anomalo al servizio di backend.

La funzionalità dei modelli granulari consente di configurare host o percorsi specifici come le unità granulari analizzate da Adaptive Protection. Quando utilizzi i dati granulari personalizzati, le mitigazioni suggerite da Adaptive Protection filtrano il traffico in base prefissi di host o di percorsi dell'URL corrispondenti, contribuendo a ridurre i falsi positivi. Ciascuno di chiamato unità di traffico granulare.

Le firme di attacco identificate prendono di mira solo il traffico dell’attacco che arriva nell'unità di traffico granulare; ma il filtro si applica tutte le richieste corrispondenti alla regola di cui è stato eseguito il deployment, come farebbe senza configurazioni granulari. Ad esempio, se vuoi che una regola di cui è stato eseguito il deployment automatico per una specifica unità granulare del traffico, valuta la possibilità di utilizzare come evaluateAdaptiveProtectionAutoDeploy() && request.headers['host'] == ... && request.path == ....

Oltre ai prefissi host e dei percorsi URL, puoi configurare soglie di avviso in base ad alcune o a tutte le seguenti opzioni. Puoi applicare queste soglie a alle unità di traffico granulari o al servizio di backend nel suo complesso, ad eccezione delle soglia di carico che può essere applicata solo al servizio di backend:

Carico: il carico massimo per il servizio di backend, in base all'impostazione configurata Bilanciatore del carico delle applicazioni. Questa opzione non è disponibile per i di traffico e non è disponibile per i backend serverless come Cloud Run, Cloud Functions o backend di origine esterni.
Query assolute al secondo (QPS): la quantità di traffico di picco, in di query al secondo ricevute dal servizio di backend o dall'unità di traffico.
Rispetto al valore QPS di riferimento: un multiplo della base di riferimento media a lungo termine di traffico di rete. Ad esempio, il valore 2 rappresenta un valore QPS pari al doppio del volume di traffico di base.

Per ulteriori informazioni sulla configurazione di modelli granulari, consulta Configura Google Cloud Armor Adaptive Protection.

Utilizza e interpreta gli avvisi

Non appena Adaptive Protection rileva un sospetto attacco, genera nella dashboard degli eventi di Adaptive Protection e genera un elemento di log in Cloud Logging. L'avviso si trova nel payload JSON dell'elemento di log. La viene generato un elemento di log nella risorsa Criterio di sicurezza di rete in in Cloud Logging. Il messaggio di log identifica il servizio di backend in attacco e include un punteggio di confidenza che indica il grado di Adaptive Protection valuta la modifica del modello di traffico identificata come anomala. Il messaggio di log include anche una firma di attacco che illustra il caratteristiche del traffico degli attacchi, insieme ai suggerimenti Regole di Google Cloud Armor che potresti applicare per mitigare l'attacco.

Comprendere le firme degli attacchi

Un avviso di Adaptive Protection include una firma di attacco, ovvero una descrizione degli attributi del traffico del potenziale attacco. Puoi utilizzare per identificare e potenzialmente bloccare l'attacco. La firma richiede due moduli: come tabella leggibile dall'utente e come WAF precostruito di Google Cloud Armor che puoi implementare nel criterio di sicurezza pertinente. Se se non disponi di un abbonamento a Cloud Armor Enterprise, non è presente una firma di attacco incluso nell'avviso di base.

La firma è costituita da un insieme di attributi, ad esempio l'indirizzo IP di origine, regioni geografiche, cookie, user agent, referrer e altre richieste HTTP e l'insieme di valori per gli attributi che si pensa siano associati con il potenziale traffico di attacco. L'insieme di attributi non è user- configurabile. I valori degli attributi dipendono dai valori nel traffico in entrata al servizio di backend.

Per ogni valore di attributo che Adaptive Protection ritiene indichi la potenziale attacco, Adaptive Protection elenca quanto segue:

La probabilità di attacco
La proporzione dell'attributo nell'attacco, ovvero la percentuale il traffico di potenziale attacco con questo valore al momento dell'attacco è stato rilevato
La proporzione dell'attributo in riferimento, ossia la percentuale traffico di riferimento che possedeva questo valore attributo nel momento in cui è stato rilevato un attacco

Specifiche delle voci di Cloud Logging contiene i dettagli delle informazioni di ciascun avviso.

Di seguito è riportato un esempio di tabella leggibile dall'utente che contiene la firma di un potenziale attacco:

Nome dell'attributo	Valore	Tipo di corrispondenza	Probabile attacco	Proporzione in attacco	Proporzione in base al valore di riferimento
`UserAgent`	"foo"	Corrispondenza esatta	0,7	0,85	0,12
`UserAgent`	"bar"	Corrispondenza esatta	0,6	0,7	0,4
IP di origine	"a.b.c.d"	Corrispondenza esatta	0,95	0,1	0,01
IP di origine	a.b.c.e	Corrispondenza esatta	0,95	0,1	0,01
IP di origine	a.b.c.f	Corrispondenza esatta	0,05	0,1	0,1
`RegionCode`	Regno Unito	Corrispondenza esatta	0,64	0,3	0,1
`RegionCode`	IN	Corrispondenza esatta	0,25	0,2	0,3
`RequestUri`	/urlpart	Sottostringa	0,7	0,85	0,12

Un avviso di Adaptive Protection e l'evento Cloud Logging pertinente contiene quanto segue:

Un ID avviso univoco, o alertID, utilizzato per fare riferimento a un avviso specifico quando segnala il feedback degli utenti (ulteriori informazioni di seguito)
Il servizio di backend sotto attacco, o backendService
Il punteggio di confidenza, o confidence, è un numero compreso tra 0 e 1 che indica l'intensità con cui il sistema Adaptive Protection valuta i evento come un attacco dannoso

Riceverai anche una serie di firme e regole è stato rilevato un attacco. Nello specifico, il set fornisce un elenco di headerSignatures, ognuna corrispondente a un'intestazione HTTP e contenente un elenco di significantValues per l'intestazione specifica. Ogni valore significativo è un'intestazione osservata o una sua sottostringa.

Di seguito è riportato un esempio di firma:

...
headerSignatures: [
  0: {
   name: "Referer"
   significantValues: [
    0: {
     attackLikelihood: 0.95
     matchType: "MATCH_TYPE_EQUALS"
     proportionInAttack: 0.6
     proportionInBaseline: 0.01
     value: "foo.attacker.com"
    }
   ]
  }
...

L'avviso suggerisce che il valore foo.attacker.com nell'intestazione Referer sia sono importanti nella descrizione dell'attacco. Più precisamente, il 60% degli attacchi traffico (proportionInAttack) ha questo valore di Referer e solo l'1% del valore di riferimento il traffico di tutto il traffico (proportionInBaseline) ha lo stesso valore di Referer valore. Inoltre, tra tutto il traffico corrispondente a questo valore Referer, il 95% è un attacco (attackLikelihood).

Questi valori suggeriscono che, se dovessi bloccare tutte le richieste con foo.attacker.com nel campo header Referer, bloccheresti con successo il 60% dell'attacco e l'1% del traffico di riferimento.

La proprietà matchType specifica la relazione tra nel traffico dell'attacco e nel valore significativo. Può essere MATCH_TYPE_CONTAINS o MATCH_TYPE_EQUALS.

La firma successiva corrisponde al traffico con una sottostringa /api? nell'URI della richiesta:

...
headerSignatures: [
  0: {
   name: "RequestUri"
   significantValues: [
    0: {
     attackLikelihood: 0.95
     matchType: "MATCH_TYPE_CONTAINS"
     proportionInAttack: 0.9
     proportionInBaseline: 0.01
     value: "/api?"
    }
   ]
  }
...

Esegui il deployment delle regole suggerite

Gli avvisi di Adaptive Protection forniscono anche un suggerimento di Google Cloud Armor espressa nel linguaggio delle regole personalizzate. Questa regola può essere utilizzata per crearne una in un ambiente di sicurezza di Google Cloud Armor per mitigare l'attacco. Oltre alla firma, l'avviso include la percentuale di traffico di riferimento interessato per aiutarti a valutare l'impatto delle il deployment della regola. La percentuale di traffico di riferimento interessato è una stima proporzione di traffico di riferimento che corrisponde alla firma dell'attacco identificata da Adaptive Protection. Se non hai un abbonamento a Cloud Armor Enterprise, gli avvisi di base inviati da Adaptive Protection non includono un suggerimento Regola di Google Cloud Armor che puoi applicare.

Puoi trovare alcune firme dell'avviso e la percentuale di riferimento interessata nel messaggio di log inviato a Cloud Logging. L'esempio seguente è il formato JSON payload di un avviso di esempio insieme alle etichette delle risorse su cui puoi filtrare nei log.

...
 jsonPayload: {
   alertId: "11275630857957031521"
   backendService: "test-service"
   confidence: 0.71828485
   headerSignatures: [

    0: {
     name: "RequestUri"
     significantValues: [
      0: {
       attackLikelihood: 0.88
       matchType: "MATCH_TYPE_EQUALS"
       proportionInAttack: 0.85
       proportionInBaseline: 0.01
       value: "/"
      }
     ]
    }
    1: {
     name: "RegionCode"
     significantValues: [
      0: {
       attackLikelihood: 0.08
       matchType: "MATCH_TYPE_EQUALS"
       proportionInAttack: 0.17
       proportionInBaseline: 0.28
       value: "US"
      }
      1: {
       attackLikelihood: 0.68
       matchType: "MATCH_TYPE_EQUALS"
       proportionInAttack: 0.09
       proportionInBaseline: 0.01
       value: "DE"
      }
      2: {
       attackLikelihood: 0.74
       matchType: "MATCH_TYPE_EQUALS"
       proportionInAttack: 0.05
       proportionInBaseline: 0
       value: "MD"
      }
     ]
    }
     2: {
     name: "UserAgent"
     significantValues: [
      0: {
       attackLikelihood: 0.92
       matchType: "MATCH_TYPE_EQUALS"
       proportionInAttack: 0.85
       proportionInBaseline: 0
       value: "Unusual browser"
      }
      1: {
       attackLikelihood: 0.87
       proportionInAttack: 0.7
       proportionInBaseline: 0.1
       missing: true
      }
     ]
    }
   ]
   suggestedRule: [
    0: {
     action: "DENY"
     evaluation: {
       impactedAttackProportion: 0.95
       impactedBaselineProportion: 0.001
       impactedBaselinePolicyProportion: 0.001
     }
     expression: "evaluateAdaptiveProtection('11275630857957031521')"
    }
   ]
   ruleStatus: RULE_GENERATED
   attackSize: 5000
 }
 resource: {
    type: "network_security_policy",
    labels: {
      project_id: "your-project",
      policy_name: "your-security-policy-name"
    }
 },
}
}
...

Puoi eseguire il deployment delle regole suggerite copiando l'espressione CEL dalla regola firma e incolla l'espressione nella condizione di corrispondenza di un o facendo clic sul pulsante Applica nella sezione nella UI di Google Cloud Armor.

Per eseguire il deployment della regola, creane una nuova nella sezione di sicurezza di Google Cloud Armor che protegge i servizi di backend scelti come target identificati dall'avviso. Successivamente, durante la configurazione della regola, copia e incolla l'espressione CEL dal nel campo Condizione di corrispondenza della regola e imposta l'azione della regola su deny. Nell'esempio riportato sopra, copi l'espressione evaluateAdaptiveProtection('11275630857957031521') da suggestedRule sezione dell'avviso.

Ti consigliamo vivamente di eseguire inizialmente il deployment della regola in modalità di anteprima per permetterti di valutare l'impatto della regola sul traffico di produzione. In questo caso, Google Cloud Armor registra l'azione e il traffico associato ogni volta che viene attivata, ma non viene intrapresa alcuna azione sul traffico corrispondente.

Inoltre, se il criterio di sicurezza è collegato a più servizi di backend, nota se gli effetti della nuova regola hanno effetti indesiderati in uno qualsiasi dei dai servizi di backend. In questo caso, configura nuovi criteri di sicurezza mitigare gli effetti indesiderati e collegarli ai servizi di backend corretti.

Ti consigliamo di impostare la priorità della nuova regola su un valore più alto di qualsiasi altra regola. con l'azione impostata su "Consenti". Questo perché, per avere l'impatto previsto hanno l'effetto massimo nella mitigazione dell'attacco, la regola deve essere implementata in posizione con priorità logica più elevata per garantire che tutto il traffico corrispondente venga bloccato dalla regola. Le regole in un criterio di sicurezza di Google Cloud Armor vengono valutate in ordine di priorità con la valutazione che termina dopo che è stata raggiunta la prima regola di corrispondenza e viene eseguita l'azione della regola associata. Se devi concedere un per alcuni tipi di traffico o client specifici a partire da questa regola, regola possono essere creati con una priorità più alta, ovvero con un valore numerico più basso. Per ulteriori informazioni sulla priorità delle regole, consulta Ordine di valutazione delle regole.

Esegui automaticamente il deployment delle regole suggerite

Puoi anche configurare Adaptive Protection in modo che esegua automaticamente il deployment dei suggerimenti le regole del caso. Per abilitare il deployment automatico delle regole, crea una regola segnaposto con la priorità e l'azione che hai scelto utilizzando l'espressione evaluateAdaptiveProtectionAutoDeploy() nella condizione di corrispondenza. Questa regola restituisce true per le richieste che Adaptive Protection identifica come e Google Cloud Armor applica l'azione all'attacco richiesta. Tutti i tipi di azione di Google Cloud Armor, come allow, deny, throttle e redirect sono supportati. Inoltre, puoi utilizzare la modalità di anteprima per registrare l'attivazione della regola senza eseguire l'azione configurata.

Se utilizzi un proxy upstream come una CDN di terze parti davanti al tuo il bilanciatore del carico delle applicazioni esterno, ti consigliamo Campo userIpRequestHeaders per aggiungere l'indirizzo IP (o gli intervalli di indirizzi IP) del tuo provider a una lista consentita. Questo impedisce ad Adaptive Protection di identificare erroneamente l'origine del proxy l’indirizzo IP come partecipante a un attacco. Esamina invece campo configurato dall'utente per l'indirizzo IP di origine del traffico prima del suo arrivo al proxy.

Per ulteriori informazioni sulla configurazione del deployment automatico delle regole, consulta Esegui automaticamente il deployment delle regole suggerite di Adaptive Protection.

Stato della regola

Se non viene visualizzata alcuna regola quando tenti di eseguire il deployment di una regola suggerita, puoi usa il campo ruleStatus per determinare la causa.

 ]
ruleStatus: RULE_GENERATED
attackSize: 5000
}

La tabella seguente descrive i possibili valori del campo e i relativi media.

Stato della regola	Descrizione
RULE_GENERATED	Una regola utilizzabile è stata generata normalmente.
BASELINE_TOO_RECENT	Tempo insufficiente per accumulare traffico di riferimento affidabile. È necessaria fino a un'ora per generare le regole.
NO_SIGNIFICANT_VALUE_DETECTED	Nessuna intestazione ha valori significativi associati al traffico di attacco, pertanto non è possibile generare alcuna regola.
NO_USABLE_RULE_FOUND	Impossibile creare una regola utilizzabile.
ERRORE	Si è verificato un errore non specificato durante la creazione della regola.

Monitoraggio, feedback e segnalazione degli errori relativi agli eventi

Per visualizzare o interagire con il report, devi disporre delle autorizzazioni seguenti dashboard di Adaptive Protection.

compute.securityPolicies.list
compute.backendServices.list
logging.logEntries.list

Dopo aver abilitato Adaptive Protection su qualsiasi sicurezza di Google Cloud Armor puoi visualizzare la pagina seguente in Sicurezza di rete > Google Cloud Armor. Visualizza il volume di traffico nel tempo per il criterio di sicurezza e il servizio di backend selezionati e la durata selezionata. Qualsiasi le istanze di potenziali attacchi segnalati da Adaptive Protection vengono annotate sul grafico ed elencate sotto il grafico. Quando fai clic su uno specifico evento di attacco, viene visualizzata una finestra laterale con la firma dell'attacco e la regola suggerita mostrate tabulare. Si tratta delle stesse informazioni contenute nel log di Cloud Logging descritte nella specifica delle voci di Cloud Logging. Fai clic sul pulsante Applica per aggiungere la regola suggerita allo stesso criterio di sicurezza.

Dashboard di Adaptive Protection (fai clic per ingrandire)

Dettagli avvisi di Adaptive Protection — Dashboard di Adaptive Protection (fai clic per ingrandire)

Non tutti i risultati di Adaptive Protection sono considerati un attacco, dato il contesto unico e fattori ambientali di un servizio di backend protetto. Se Stabilire se il potenziale attacco descritto dall’avviso è normale o accettato comportamento, puoi segnalare un evento errato per aiutare ad addestrare Modelli Adaptive Protection. Accanto a ciascun evento di attacco elencato sotto il grafico è un pulsante che apre una finestra interattiva per segnalare un evento con un contesto facoltativo. Segnalare un errore evento contribuisce a ridurre probabilità di errori simili in futuro. Nel tempo, questo valore aumenta la precisione di Adaptive Protection.

Monitoraggio, avvisi e logging

La telemetria di Adaptive Protection viene inviata a Cloud Logging, nonché Security Command Center. Il messaggio di log di Adaptive Protection inviato a Cloud Logging è descritto nelle sezioni precedenti di questo documento. R una voce di log viene generata ogni volta che Adaptive Protection rileva un potenziale e ciascuna voce contiene un punteggio di confidenza che descrive quanto mostrano che il traffico osservato è anomalo. Per perfezionare gli avvisi, il criterio di avviso può essere configurato in Cloud Logging per attivare un avviso solo quando un messaggio di log di Adaptive Protection ha un punteggio di confidenza superiore a specificata dall'utente. Ti consigliamo di iniziare con una soglia bassa, con sicurezza > 0.5, per evitare di perdere gli avvisi di potenziali attacchi. La fiducia soglia nel criterio di avviso può essere aumentata nel tempo se gli avvisi una percentuale di base influenzata inaccettabile.

La dashboard di Security Command Center contiene anche Adaptive Protection. Si trovano nella scheda Google Cloud Armor in Attacchi DDoS alle applicazioni. Ogni risultato include i dettagli il servizio, la confidenza dell'attacco, la firma associata all'attacco, e un link all'avviso specifico nella dashboard di Adaptive Protection. La il seguente screenshot è un esempio di tentativo di attacco DDoS a un'applicazione risultato:

Rilevamento di attacchi DDoS alle applicazioni. — **Individuazione di un attacco DDoS a un'applicazione** (fai clic per ingrandire).

Specifica delle voci di Cloud Logging

L'avviso di Adaptive Protection inviato a Cloud Logging è costituito da una voce di log contenente i seguenti elementi:

Confidenza degli avvisi: sicurezza di Adaptive Protection osservato dall'evento è un attacco.
Deployment automatico: valore booleano che rappresenta se è stata attivata o meno una difesa automatica.
Firma dell'attacco
- Nome dell'attributo: il nome dell'attributo che corrisponde a Value come il nome di un'intestazione di una richiesta specifica o un'origine geografica.
- Valore: il valore a cui corrisponde l'attributo nel traffico dannoso.
- Tipo di corrispondenza: la relazione tra Value e l'attributo nell'attacco per via del traffico. Il valore è uguale a o una sottostringa di un attributo in e il traffico di attacco.
- Probabilità di attacco: la probabilità che una determinata richiesta sia dannosa, in quanto che l'attributo pertinente di questa richiesta corrisponda a Value.
- Proporzione all'attacco: la percentuale di traffico di potenziale attacco che corrisponde Value.
- Proporzione in base di riferimento: la percentuale di traffico normale di riferimento che corrisponde Value.
Regola suggerita
- Condizione di corrispondenza: l'espressione da utilizzare nella condizione di corrispondenza delle regole per identificare il traffico dannoso.
- Tasso di riferimento interessato: la percentuale prevista di traffico di qualità verso il e un servizio di backend specifico sottoposto ad attacco, acquisito dalla regola suggerita.
- Tasso di riferimento interessato dalla norma: la percentuale prevista di fattori positivi a tutti i servizi di backend nello stesso criterio di sicurezza acquisiti dalla regola suggerita.
- Tasso di attacchi interessati: la percentuale prevista di traffico di attacchi acquisiti dalla regola suggerita.
Stato regola: dettagli aggiuntivi sulla generazione della regola.

Panoramica e privacy del machine learning

Dati di addestramento e dati di rilevamento
- Adaptive Protection crea diversi modelli rilevare potenziali attacchi e identificarne le firme. Gli indicatori utilizzati questi modelli per determinare se un attacco è in corso derivano dalla dei metadati osservati per il traffico delle richieste in entrata dai tuoi progetti. Tale I metadati includono: indirizzo IP di origine, area geografica di origine e i valori di alcune intestazioni di richieste HTTP.
- Le caratteristiche effettive utilizzate dai modelli derivano da proprietà statistiche derivate degli indicatori sopra menzionati. Vale a dire che i dati di addestramento dei modelli non includono i valori effettivi quali indirizzi IP e/o valori di intestazione delle richieste.
- Un insieme comune di modelli di rilevamento, addestrati solo con dati artificiali, condivise tra tutti i clienti per determinare se è in corso un attacco, quando Adaptive Protection viene abilitato per la prima volta. Dopo aver segnalato un falso e i modelli vengono aggiornati utilizzando indicatori di traffico specifici progetti, questi modelli sono locali dei tuoi progetti e non sono per tutti gli altri clienti.
Dati per la generazione di firme
- Dopo che Adaptive Protection ha determinato che un potenziale attacco è avviene, genera una firma di attacco efficace per aiutare mitigare rapidamente l'attacco. Per ottenere quanto riportato sopra, dopo puoi abilitare Adaptive Protection su un criterio di sicurezza, metadati delle richieste a un servizio di backend (associato al criterio di sicurezza) vengono registrati continuamente per apprendere le caratteristiche di base del traffico.
- Poiché Adaptive Protection deve apprendere informazioni sul traffico di riferimento, Adaptive Protection potrebbe richiedere fino a un'ora prima di generare le regole per mitigare i potenziali attacchi.